Πρόβλημα ασφαλείας στο Android επιτρέπει σε κακόβουλους τρίτους να καταγράφουν τηλεφωνήματα

Επιστήμονες ανακάλυψαν μία αδυναμία σε smartphones που τρέχουν το λειτουργικό σύστημα Android της Google και η οποία επιτρέπει σε κακόβουλους τρίτους να ηχογραφούν κρυφά τηλεφωνικές κλήσεις, να καταγράφουν δεδομένα γεωγραφικής τοποθεσίας και δίνει πρόσβαση σε άλλες ευαίσθητες πληροφορίες χωρίς άδεια.

 

Συσκευές που πωλούνται από την HTC, τη Samsung, τη Motorola και την Google περιέχουν κώδικα που δίνει πρόσβαση σε σημαντικές δυνατότητες σε εφαρμογές τρίτων, όπως αναφέρουν επιστήμονες από το Πανεπιστήμιο North Carolina State. Αυτές οι διαρροές που ονομάζονται "explicit capability leaks" παρακάμπτουν δικλείδες ασφαλείας που ενυπάρχουν στο Android και οι οποίες ζητούν την άδεια του χρήστη κάθε φορά που μία εφαρμογή ζητά πρόσβαση σε προσωπικού χαρακτήρα πληροφορίες και λειτουργίες όπως το SMS. Ο κώδικας που επιτρέπει την παράκαμψη εμπεριέχεται σε εφαρμογές και λειτουργίες που προσθέτουν οι κατασκευαστές των συσκευών για να διευρύνουν τις δυνατότητες του αρχικού firmware που δίνει η Google.

 

"Πιστεύουμε ότι τα αποτελέσματα αποδεικνύουν ότι τα capability leaks συνιστούν σημαντικό πρόβλημα ασφάλειας για πολλά από τα smartphones που τρέχουν Android σήμερα" γράφουν οι ερευνητές σε επιστημονική ανακοίνωση που πρόκειται να παρουσιαστεί σε συμπόσιο για την ασφάλεια δικτυομένων συστημάτων (Network and Distributed System Security Symposium). "Ειδικότερα, smartphones με πολλές προεγκατεστημένες εφαρμογές τείνουν να έχουν περισσότερα explicit capability leaks", αναφέρουν.

 

Οι ερευνητές δημιούργησαν μία διαγνωστική εφαρμογή την οποία ονόμασαν Woodpecker, την οποία εγκατέστησαν σε οκτώ smartphones από τέσσερεις διαφορετικούς κατασκευαστές. Η πλέον ευάλωτη συσκευή είναι η EVO 4G της HTC, η οποία φέρεται να "διαρρέει" οκτώ διαφορετικά δεδομένα, συμπεριλαμβανομένης της ακριβούς γεωγραφικής θέσης, της κάμερας, του συστήματος SMS και του καταγραφικού συστήματος ήχου. Δεύτερη, η συσκευή Legend της HTC, με έξι "διαρροές", τρίτη η συσκευή Epic 4G της Samsung με τρεις "διαρροές" μεταξύ των οποίων τη δυνατότητα διαγραφής δεδομένων και εφαρμογών από τη συσκευή ενώ οι συσκευές Nexus One και Nexus S της Google βρέθηκαν να έχουν μία "διαρροή".

 

Σε αντίθεση με τα εργοστασιακά iPhone, τα οποία επιτρέπουν στον χρήστη να εγκαθιστά μόνο εφαρμογές που έχουν εγκριθεί από την Apple, το επίσημο κατάστημα Android Market δεν πραγματοποιεί ελέγχους στο λογισμικό που προσφέρει. Για αντιστάθμισμα, η Google εγκατέστησε σύστημα που δίνει στο χρήστη τη δυνατότητα να ελέγχει σε ποιές πληροφορίες έχουν πρόσβαση οι εφαρμογές που εγκαθιστά στη συσκευή του. Την πρώτη φορά που πρόκειται να "τρέξει" μία νέα εφαρμογή, ενημερώνει τον χρήστη για ποιά ευαίσθητα δεδομένα ζητά πρόσβαση και οι χρήστες που δεν επιθυμούν να δώσουν την αιτούμενη πρόσβαση έχουν τη δυνατότητα να απεγκαταστήσουν την εφαρμογή.

 

Οι ερευνητές ανακάλυψαν ότι οι προσθήκες των κατασκευαστών στο λειτουργικό δίνουν τη δυνατότητα να παρακαμφθεί η δυνατότητα ελέγχου του χρήστη στις εφαρμογές. Σε ένα video που έδωσαν στη δημοσιότητα, αποδεικνύουν πώς μία εφαρμογή που σχεδίασαν οι ίδιοι, αποκτά πρόσβαση στον καταγραφέα ήχου και στο σύστημα SMS ενός HTC EVO 4G χωρίς να λάβει τη σχετική εξουσιοδότηση από τον χρήστη, με αποτέλεσμα η εφαρμογή να έχει τη δυνατότητα να ενεργοποιήσει την καταγραφή ήχου που καταγραφεί τηλεφωνικές συνομιλίες και ήχο καθώς και να στείλει SMS χωρίς να το γνωρίζει ο χρήστης.

 

Οι ερευνητές ανέφεραν ότι τόσο η Google όσο και η Motorola επιβεβαίωσαν το πρόβλημα στις συσκευές τους αλλά ότι η HTC και η Samsung "είτε καθυστέρησαν ιδιαίτερα να απαντήσουν στις ερωτήσεις μας και στις αναφορές μας είτε μας αγνόησαν".

 

Πηγή: The Register

 

Video:

 

Download: Systematic Detection of Capability Leaks in Stock Android Smartphones (αρχείο PDF)